Security Week 2421: множество исправлений и один новый баг в обновлении Apple iOS
13 мая компания Apple обновила операционные системы iOS и iPadOS для мобильных устройств до версии 17.5. Всего в этом патче было исправлено более 15 уязвимостей, включая, например, возможность открывать заметки на заблокированном устройстве. Более серьезная проблема была исправлена в ядре iOS: уязвимость с идентификатором CVE-2024-27818 могла приводить к падению приложений, но также делала возможным выполнение произвольного кода.
Как сообщает сайт MacRumours, помимо решения проблем обновление добавило один новый и достаточно серьезный баг, приводящий к нарушению приватности. Сразу после выпуска iOS/iPadOS 17.5 появились сообщения о том, что на мобильных устройствах Apple начали появляться ранее удаленные фото. Во всех случаях отмечалось, что фотографии старые — добавленные не позднее 2017 года, а в некоторых случаях речь шла о совсем древних изображениях, созданных в 2010 году. Это можно было посчитать досадным, но безобидным багом, если бы не еще одно сообщение. В нем утверждалось, что старые фотографии появились на устройстве, отвязанном от учетной записи Apple ID, которое было продано новому владельцу.
Если верить этому пользовательскому сообщению, речь идет уже о серьезной проблеме с приватностью данных. Автор поста на Reddit рассказал, что перед продажей удалил все данные с планшета iPad Pro, отвязал его от своей учетной записи в соответствии с рекомендациями Apple. Новый владелец привязал планшет к собственной учетке Apple ID, но через некоторое время увидел на устройстве фотографии предыдущего пользователя. Так как данные на самом устройстве зашифрованы и вряд ли могут каким-то образом пережить полный сброс планшета, речь, возможно, идет о баге, который по ошибке подгружает старые и чужие фото из облачного сервиса iCloud. Впрочем, пока речь идет о единственном подобном инциденте. Более того, автор поста на Reddit впоследствии его удалил, что ставит всю историю под сомнение. В других сообщениях старые фото всплывают на авторизованных устройствах — и это не такая серьезная проблема.
13 мая также были выпущены патчи для предыдущей версии iOS/iPadOS 16. Обновление до версии 16.7.8 закрывает две уязвимости, в том числе одну уникальную. Уязвимость CVE-2024-23296 относится к компоненте RTKit и позволяет обходить системы защиты ядра. По данным Apple, эта уязвимость могла эксплуатироваться до выпуска патча. Обновление для iOS 16 закрывает проблему на старых устройствах, не поддерживающих актуальную версию операционной системы, начиная с iPhone 8.
Еще одно важное обновление в iOS 17.5 включает возможность детектирования находящихся рядом беспроводных меток. Это практическая реализация анонсированного ровно год назад стандарта, который позволит определить без спроса подкинутую метку для слежки за пользователем. При выпуске Apple AirTag они довольно быстро начали использоваться для слежки за супругами, для угона автомобилей и других противоправных действий. Возможность определять наличие «жучка» поблизости довольно быстро реализовали в iOS, но возникла ситуация, когда защититься от подкинутой метки AirTag могли только владельцы iPhone или других устройств Apple. Новый стандарт поддержан всеми крупными производителями меток и помимо iOS должен работать также и в Android, начиная с шестой версии.
Что еще произошло
На прошлой неделе также были закрыты уязвимости нулевого дня в браузере Google Chrome и в Windows. Обе уязвимости были обнаружены специалистами «Лаборатории Касперского», а по проблеме в Windows DWM Core Library также был опубликован краткий отчет.
Свежее научное исследование демонстрирует уязвимость в стандарте беспроводной связи Wi-Fi. Исследователи предложили атаку, в которой жертву вынуждают присоединиться к беспроводной сети атакующего. При этом для жертвы это будет выглядеть как подключение к известной легитимной доверенной беспроводной сети.
Двое студентов калифорнийского университета нашли уязвимость в приложении компании, управляющей платными стиральными машинами. Проблема оказалась довольно тривиальной: авторизация пользователей реализована внутри мобильного приложения, которое затем осуществляет коммуникацию с серверами компании с помощью приватного API. Никакой авторизации на уровне API не производится, что позволило студентам получить бесплатную стирку, добавлять произвольные суммы денег на лицевой счет и так далее. Сервис-провайдер так и не ответил на несколько сообщений о проблеме, и на момент публикации дыра оставалась открытой.
Мессенджер Slack на прошлой неделе был раскритикован за решение по умолчанию использовать содержимое приватных чатов для тренировки языковых моделей. Исключить собственное рабочее пространство из этой «программы» путем изменения настроек учетной записи нельзя. Вместо этого предлагается направить просьбу об исключении данных на адрес электронной почты.
Зафиксирована очередная вредоносная кампания, в которой злоумышленники рекламируют вредоносное ПО под видом легитимного в поисковых результатах Google. На этот раз были обнаружены рекламные объявления, появляющиеся при поиске популярных утилит PuTTy и WinSCP. Если по недосмотру кликнуть на рекламное объявление вместо ссылки на сайт производителя, есть шанс установить бэкдор.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.